Der Schutz Ihrer Daten ist für uns entscheidend und ein zentraler Bestandteil der Produkte und Dienstleistungen von Personio. Deshalb beachten wir selbstverständlich die Bestimmungen zum Datenschutz, insbesondere die Anforderungen der EU-Datenschutz-Grundverordnung (DS-GVO).
Tipp
Um mehr über den Datenschutz bei Personio zu erfahren, besuchen Sie das Personio Trust Center. Wenn Sie Fragen zum Datenschutz bei Personio haben, wenden Sie sich bitte an datenschutz@personio.de.
Welche Anforderungen sieht die EU-DSGVO vor?
Die DS-GVO ist am 25. Mai 2018 als nationales Recht in Kraft getreten. Ihr Ziel ist es, das Datenschutzrecht in ganz Europa zu stärken und einen einheitlichen Rechtsrahmen in der gesamten EU zu schaffen. Personio ist als Unternehmen und in Bezug auf unsere Software vollständig DSGVO-konform. Ihre personenbezogenen Daten sind daher geschützt. Wir haben technische und organisatorische Maßnahmen ergriffen, um die Sicherheit unserer Datenverarbeitung zu gewährleisten.
Wo werden meine Daten gespeichert?
Personio setzt auf die Dienstleistungen von Amazon Web Services (AWS) als Hosting Provider. Wir speichern alle Kundendaten auf ISO/IEC 27001-zertifizierten Servern in Frankfurt. Die Daten verlassen die EU nicht. Damit erfüllen die Server unsere hohen Anforderungen an die physische Sicherheit Ihrer Daten. Sowohl unser*e Datenschutzbeauftragte*r als auch die Landesdatenschutzbehörde haben die datenschutzkonforme Nutzung von AWS in Deutschland bestätigt.
Wie werden meine Daten gespeichert?
Ihre Personio-Daten bleiben sowohl während der Übertragung als auch im Ruhezustand sicher. Erfahren Sie mehr über die Datenspeicherrichtlinien von Personio.
Wer kann auf meine Daten zugreifen?
Wir speichern alle Daten verschlüsselt und generieren die Masterschlüssel. So wird sichergestellt, dass weder AWS noch sonstige Drittparteien Zugriff auf Ihre Daten erhalten. Die Masterschlüssel sind gesichert und nicht frei zugänglich.
Auf Seiten von Personio erhalten ausschließlich unsere Produktverantwortlichen und die Mitarbeitenden des Customer Success Teams (kundensystemseitig) sowie unser Infrastruktur-Team (serverseitig) anlassbezogen Zugriff. Dies ist notwendig, um die initiale Einrichtung des Accounts sowie bei die Bearbeitung von Serviceanfragen zu unterstützen. Die Vergabe von Zugriffsrechten sowie der Zugriff auf Kundensysteme werden stets protokolliert. Die Freigabe des Personio-Accounts für unsere Support-Mitarbeitenden wird dabei vom Kunden selbst bestimmt. Erfahren Sie mehr über den Support-Zugriff.
Wo kann ich mich über die Datensicherheitsrichtlinien von Personio informieren?
Erfahren Sie mehr über unsere Datensicherheitsrichtlinien im Personio Trust Center.
Wie kann ich eine Personio-Instanz weiter schützen?
Wir erstellen neue Personio-Instanzen nach Best Practices der Branche. Es ist nicht erforderlich, die Standardeinstellungen aus Sicherheitsgründen anzupassen. Sie können Maßnahmen ergreifen, um Ihre Instanz weiter zu schützen, wenn die Sicherheitsrichtlinien Ihres Unternehmens dies erfordern:
- Definieren Sie Mitarbeitendenrollen mit den wenigsten Zugriffsrechten.
- Aktivieren Sie die Authentifizierung über Single Sign-on (SSO).
- Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA).
- Legen Sie eine Richtlinie für starke Passwörter fest.
Darüber hinaus warnt die Sicherheitstoken-Funktion Nutzende vor ungewöhnlichen Aktivitäten während einer Sitzung. Diese Funktion ist standardmäßig aktiviert und immer aktiv.
Wie zeigt Personio, dass die Anwendung mit der DS-GVO konform ist?
Wir haben mehrere Maßnahmen ergriffen, um den Verpflichtungen der DSGVO nachzukommen. Dazu gehören datenschutzfreundliche Standardeinstellungen und Organisationsregeln. Um die Einhaltung der DS-GVO sicherzustellen, lassen wir uns außerdem regelmäßig von Bitkom Consult extern prüfen. Bitkom Consult ist zum Schluss gekommen, dass unsere Software die Anforderungen für die Entwicklung und den Betrieb von HR-Software im Rahmen der DSGVO erfüllt.
Gleiches gilt für unser Datenschutzmanagement, wenn personenbezogene Daten im Auftrag unserer Kunden verarbeitet werden.
Wir sind der kontinuierlichen Verbesserung verpflichtet. Wir überprüfen unsere Maßnahmen regelmäßig, um sicherzustellen, dass sie dem neuesten technischen Standard entsprechen. Lesen Sie unsere Sicherheitsrichtlinien für weitere Informationen.
Hat Personio eine*n Datenschutzbeauftragte*n ernannt?
Personio nimmt die Dienste der Bitkom Servicegesellschaft mbH als unseren Datenschutzbeauftragten in Anspruch. Bitkom ist eine führende Beratungsgesellschaft für die digitale Wirtschaft in Deutschland und prüft, ob Personio die Datenschutzanforderungen einhält.
Wie unterstützt mich Personio als Kund*in bei unserer Datenschutzfolgenabschätzung?
Wir unterstützen unsere Kund*innen, indem wir datenschutzrelevante Informationen bereitstellen. Dazu gehören der Auftragsverarbeitungsvertrag (AVV) mit Servicebeschreibungen und unsere technischen und organisatorischen Maßnahmen (TOM). Sie können diese als Verantwortliche*r gemäß Artikel 35 EU-DSGVO nutzen, um die Datenschutzfolgenabschätzung durchzuführen. Die TOM und den AVV finden Sie im Bereich Datenschutzinformationen in Ihrem Account.
Wo finde ich die technischen und organisatorischen Maßnahmen (TOM)?
Wir speichern diese Informationen in unserer Personio-Software als einzige Informationsquelle, um unseren Informationspflichten nachzukommen. Sie können auf die TOM im Bereich Datenschutzinformationen Ihres Accounts zugreifen.